En ce qui concerne la sécurité, le courrier électronique est depuis longtemps un mode de communication obsolète dans notre monde de plus en plus cyber-menace. Il est temps que nous disions au revoir à l’illusion de sécurité de SMTP.
Une relique numérique datant avant la naissance d’Internet, le courrier électronique a été créé en 1971 par Roy Tomlinson pour envoyer électroniquement des informations sur le réseau de recherche Arpanet.
À l’époque, les réseaux mondiaux à grande échelle n’étaient qu’une vision et la sécurité de l’information n’était pas une préoccupation importante car les réseaux eux-mêmes étaient des environnements de confiance. Pour mettre cela en perspective, Arpanet avait 213 hôtes connectés avant d’adopter TCP en 1983. Aujourd’hui, il y a près de 20 milliards de nœuds sur Internet, avec plus de 5 millions d’entre eux exécutant des serveurs SMTP.
Au fur et à mesure que Internet s’est formé et que les premiers protocoles ont été adoptés, le courrier électronique a évolué pour être l’épine dorsale de la communication numérique. Mais il reste à ce jour l’une des formes de communication les plus précaires et les plus obsolètes à une époque de cyber-menaces de plus en plus sophistiquées. Nous avons supprimé FTP et Telnet; Il est temps d’éliminer SMTP.
Le phishing a déjà gagné
La grande majorité des compromis initiaux dans les incidents de cybersécurité commencent aujourd’hui par le phishing. Nous déployons plusieurs couches de technologies anti-spam et de filtrage par e-mail, mais aucune solution n’est parfaite, et les attaquants, qui deviennent de plus en plus sophistiqués, finissent par fausser leurs e-mails malveillants aux boîtes de réception des employés.
Nous continuons également de mener des campagnes de sensibilisation au cyber et exécuter des simulations de phishing, et pourtant, des pourcentages importants d’employés cliquent toujours sur des liens malveillants. En 2024, le temps médian pour les utilisateurs de tomber dans un e-mail de phishing était inférieur à 60 secondes, selon le rapport d’enquête sur les violations de données de Verizon.
La sophistication des attaques d’origine par e-mail combinées au volume écrasant de courriels que la personne moyenne reçoit – qui peut blâmer quelqu’un pour être victime? Je plaisante souvent à mes collègues que la chose n ° 1 que nous pouvions faire pour améliorer la sécurité de toute organisation est de désactiver les e-mails. La lutte contre les e-mails de phishing est une bataille perdue et il ne faut qu’un seul clic pour que toutes vos défenses de sécurité soient contournées. Nous devons repenser la façon dont nous communiquons électroniquement.
Le cryptage de bout en bout reste insaisissable
Le courrier électronique continue d’être l’outil de communication électronique dominant aujourd’hui car il est bien compris, relativement facile à utiliser et relativement peu coûteux. Dans l’ensemble, les entreprises ont approuvé les e-mails pour avoir envoyé des informations confidentielles, et nous nous convaincons souvent qu’il est sécurisé, peut être sécurisé avec des outils tiers, ou c’est «assez bon». Ce n’est tout simplement pas le cas, et de meilleures solutions existent.
Il est impossible de garantir que le courrier électronique est entièrement crypté de bout en bout en transit et au repos. Même lorsque Google et Microsoft cryptent les données des clients au repos, ils détiennent les clés et ont accès à des e-mails personnels et d’entreprise. Des configurations de serveur strictes et l’ajout d’outils tiers peuvent être utilisés pour appliquer la sécurité des données, mais ils sont souvent triviaux à contourner – par exemple, CC uniquement un destinataire ou une liste de distribution et de distribution est violé. Forcer le cryptage en rejetant les connexions SMTP à texte clair conduirait à une dégradation significative des services obligeant les employés à rechercher des solutions de contournement. Il n’y a pas de configuration infaillible qui garantit le chiffrement des données en raison de l’historique des serveurs SMTP à texte clair et de la prévalence de leur utilisation aujourd’hui.
Le SMTP vient d’une époque avant la surveillance mondiale de la cybercriminalité et de masse des communications en ligne, donc le cryptage et la sécurité n’ont pas été intégrés. Nous avons enregistré des solutions comme SPF, DKIM et DMARC en tirant parti des DN, mais ils ne sont pas largement adoptés, toujours ouverts aux attaques multiples, et ne peuvent pas être invoqués pour les communications cohérentes. TLS a été coincé dans SMTP pour crypter les e-mails en transit, mais l’échec de la transmission en texte clair est toujours la valeur par défaut sur un nombre important de serveurs sur Internet pour assurer la livraison.
Toutes ces solutions sont lourdes pour les administrateurs de systèmes pour configurer et entretenir correctement, ce qui conduit à un manque d’adoption ou à une livraison ratée. Nous aurions besoin que CERTBOT fonctionne aussi parfaitement pour SMTP que pour HTTP, et pour les principaux fournisseurs de messagerie tels que Google et Microsoft pour refuser des connexions en texte clair pour que l’espoir d’améliorer cette situation. Malheureusement, il y a un manque d’incitation à le faire étant donné la quantité de perturbation de la communication par e-mail que cela causerait.
Google a récemment annoncé les «e-mails cryptés de bout en bout» dans Gmail en utilisant des extensions de messagerie Internet sécurisées / polyvalentes (S / MIME) au sein de Gmail. Mais Google décrit également certaines des complexités et des chutes de la tentative d’utilisation des e-mails pour des communications sécurisées dans leur message. Bien qu’il s’agisse d’une solution qui fonctionne lors de l’envoi d’e-mails dans Gmail, il subit les mêmes problèmes que SMTP en ce que S / MIME est complexe à configurer et difficile à garantir lors de l’envoi à des systèmes distants. La solution de Google est d’avoir des destinataires en dehors de Gmail Cliquez sur un lien et revenez aux serveurs Googles pour lire le message sur HTTPS. Bien que cela puisse être une solution acceptable pour les clients de Gmail et coche la boîte de conformité, il ne résout pas les problèmes sous-jacents avec le courrier électronique. S / MIME n’a pas reçu d’adoption généralisée pour les mêmes raisons que SMTP + TLS ne l’a pas fait. Les chercheurs en sécurité spéculent déjà sur la façon dont les attaquants pourraient profiter de cette fonctionnalité pour créer des e-mails de phishing pour la récolte des informations d’identification.
Email pour l’authentification: une autre bataille perdue
Ajoutez à tout cela la tendance alarmante des e-mails adoptés en tant que mécanisme d’authentification et un outil hors bande pour les réinitialisations du mot de passe.
L’utilisation généralisée de l’envoi d’un lien unique aux comptes de messagerie est d’ouvrir des vecteurs d’attaque aux services critiques via des comptes personnels. Les attaquants ont pris conscience de ces tendances et profitent de pouvoir accéder aux actifs de l’entreprise ou aux informations personnelles sensibles en compromettant les comptes de messagerie personnels des travailleurs et des cadres, qui manquent souvent de mots de passe sécurisés ou d’authentification multi-facteurs.
Une fois qu’un attaquant a eu accès à un compte de messagerie personnel, il est trivial de trouver des preuves de systèmes qui utilisent ce compte pour l’authentification ou les réinitialités du mot de passe, d’envoyer un mot de passe réinitialisé au lieu du service tiers et d’accéder à ce service.
Si ce service est un système d’entreprise, les attaquants ont eu accès à votre entreprise par le biais de l’e-mail personnel d’un employé, ce qui peut être le compromis initial qui conduit à une violation de sécurité d’entreprise généralisée.
Aller au-delà des e-mails
En décembre 2024, le FBI a publié des lignes directrices pour la communication mobile qui comprenaient des recommandations pour adopter des technologies qui fournissent un cryptage de bout en bout en conséquence directe des menaces connues de l’État-nation.
Continuer à s’appuyer sur les e-mails pour des fonctions commerciales critiques comme les grandes transactions financières ou le partage d’informations sensibles est un jeu perdant. Il est temps de commencer à penser à remplacer les communications sensibles ou commerciales par des technologies modernes qui prennent en charge le chiffrement de bout en bout et ont été développées pour utiliser des protocoles sécurisés par défaut. Les applications comme Signal reposent sur des protocoles conçus avec un chiffrement fort et facilitent la sécurisation des données en transit. Des outils comme Microsoft Teams, Slack et Cisco WebEx ont été conçus à partir de zéro pour utiliser HTTPS. Il existe de meilleures alternatives disponibles aujourd’hui.
Le changement est difficile et les e-mails ont été ancrés dans notre vie personnelle et commerciale depuis plus d’une génération maintenant, mais nous avons de meilleures alternatives, et les risques de courrier électronique sont trop importants pour continuer à ignorer. Les entreprises doivent commencer à adopter des politiques qui priorisent les e-mails en tant qu’outil de communication et inciter à utiliser des alternatives plus sécurisées.
Dans un monde où les cyber-menaces évoluent quotidiennement, compter sur les e-mails, c’est comme verrouiller votre porte d’entrée, mais laisser les fenêtres grandes ouvertes. Traitons les e-mails pour ce que c’est. Un outil fiable et bien connu pour les communications mondiales. De meilleurs outils pour protéger la sécurité des données existent maintenant. Plutôt que d’essayer de moderniser le passé, adoptons l’avenir. Quelqu’un va-t-il être contrarié d’avoir quelques e-mails de moins dans sa boîte de réception?
